new architecture(10)--NetFlow

new architecture(10)--NetFlow

   至少有以下两点理由让我在SourceView2.0中加入NetFlow:
  
1. 对业务系统的分析。
   越来越多的用户有这种需求,而通过NetFlow我们可
以做到基于源IP和源端口的数据归并和分析。用户可以定义哪个IP和端口属于哪
个业务系统,从而能够得到这个业务系统的流量、带宽利用率以及其他一些数据。

   2. 对异常流量的分析。
   
常见的异常流量数据包形式有以下几种:
   TCP SYN flood(40
字节)
  
netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP)
数据流大小为40字节(通常为TCPSYN连接请求)

   ICMP flood
  
netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为(ICMP)
单个数据流字节数达 218M 字节。

   UDP flood
  
netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP)
数据流有大有小。

  
如果能预先定义异常流量数据包的格式,那么我们就能捕捉这些包,从而分析网络异常流量。

你可能感兴趣的:(new architecture(10)--NetFlow)